27 februari 2020

Zo verwerk je veilig persoonsgegevens in het buitenland

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), HELPDESK AVG, HELPDESK JURIDISCH

Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.

Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.

Binnen EU: Voldoen aan de Avg

Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de algemene eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.

Buiten EU: Ieder land anders

Voor de doorgifte van persoonsgegevens vanuit Nederland naar buiten de Europese Economische Ruimte – de derde landen- gelden andere regels. Zo moet er onder andere een passend beschermingsniveau zijn.

Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet.

Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.

Moet je voldoen aan de Avg?

Zijn er aanvullende eisen?

Waar moet je op letten?

Binnen de EER

Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland.

Zie hier een actueel overzicht

Ja Nee Per 31 januari 2020 is Groot-Brittanië geen lid meer van de EER. Er geldt een overgangsfase, zodat tot 31 december 2020 alle EU-regels van kracht blijven. Lees meer in onze Brexit Toolkit.
Buiten de EER

Veilige landen

Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw Zeeland, Zwitserland, Uruguay en (beperkt) VS
Zie hier een actueel overzicht

Ja Er moet een adequaatheidsbesluit zijn genomen. Daar kunnen aanvullende eisen in staan. Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties.

Verenigde Staten: adequaatheidsbesluit geldt alléén als de verwerkende partij zich heeft aangesloten bij EU-VS Privacy Shield; of als het gaat om Passenger Name Records.

Buiten de EER

Op basis van een overeenkomst

Ja Ja, doorgifte kan op basis van een goedgekeurd modelcontract.

Ook wel: Standaard contractual clauses

De Europese Commissie heeft drie modelcontracten goedgekeurd:

  • verwerkingsverantwoordelijke binnen de EU en verwerkingsverantwoordelijke buiten de EU (twee varianten).
  • verwerkingsverantwoordelijke binnen de EU en een verwerker buiten de EU (één variant).

Er bestaat op het moment van schrijven nog geen variant voor doorgifte tussen verwerkers.

Let op: het kan zijn dat je aanvullende afspraken moet maken om te voldoen aan bijvoorbeeld artikel 28 Avg.

Buiten de EER

Op basis van een gedragscode *

Ja Ja, een goedgekeurde gedragscode. Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat.

Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificaten.

Buiten de EER

Geen van bovenstaande waarborgen, wel binnen je eigen organisatie.

Ja Ja, goedgekeurde bindende bedrijfsvoorschriften die gelden binnen de diverse onderdelen van de groepsmaatschappij. Bij de toezichthouder goedkeuring vragen voor en gebruik maken van Binding Corporate Rules (BCR’s) is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren.
Buiten de EER

Geen van bovenstaande waarborgen.

Ja Ja Er zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn.

Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering. 

* Afspraken op basis van een gedragscode

Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. De Europese commissaris voor justitie, consumentenrechten en gendergelijkheid, Vera Jourová, ziet een rol weggelegd voor certificering en het aansluiten bij een gedragscode om aan te tonen dat is voldaan aan de verplichtingen van de Avg. De Europese Commissie heeft zich bereid verklaard om dit te faciliteren, maar de initiatieven daartoe moeten uit de markt komen. Dit sluit mooi aan bij de Data Pro Code van NLdigital, waarin we een op de (ICT)verwerker toegespitste uitleg geven aan de Avg. De Data Pro Code is in eerste instantie alleen van toepassing op Nederland.

Wil jij als verwerker laten zien dat je zorgvuldig met persoonsgegevens omgaat en Avg/GDPR compliancy serieus neemt? Dan kun je je als verwerker aansluiten bij de Data Pro Code van NLdigital en het Data Pro Certificate aanvragen.

Wil je individueel advies?

De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen. Leden van NLdigital kunnen hun vraag ook indienen via het ledenportal.

Ben je nog geen lid? Dan is dit een mooi moment om wel lid te worden! Lees hier meer over het lidmaatschap van NLdigital.

Wil je Avg-compliant worden?

Dan is het gratis Data Pro oriëntatiepakket een goed startpunt.

Meer informatie

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd